PIN-коды 14 млн пользователей несколько месяцев пролежали в открытом доступе
14 июль 2017 11:36 #59161
от ICT
Плохо лежало Эксперты компании UpGuard, занимающейся вопросами информационной безопасности, обнаружили общедоступный сервер в облаке Amazon S3, на котором лежали более 20 ГБ личных данных клиентов телекоммуникационной корпорации Verizon, - имена, адреса, данные учетных записей и даже PIN-коды к их пользовательским аккаунтам Verizon. Данные хранились в папках, поименованных по месяцам - там хранились сведения с января по июнь 2017 г. Внутри папок были размещены ZIP-архивы с незашифрованными текстовыми файлами, - объемом около 23 ГБ. Там же обнаружились аудиозаписи звонков на линию поддержки Verizon. Кроме того, на том же сервере располагались данные, принадлежащие другой компании - французскому телеком-оператору Orange. Впрочем, там клиентских сведений не обнаружилось, исключительно внутренние файлы. Кто это сделал? По сведениям UpGuard, сервер принадлежит израильской компании NICE Systems, специализирующейся на разработке ПО для операционных подразделений и call-центров. NICE также известна тем, что разрабатывала и продавала репрессивным режимам системы массовой слежки. http://filearchive.cnews.ru/img/news/2017/07/14/pin440.jpg"> Папка verizon-sftp на сервере Amazon
с рассортированными по месяцам данными пользователей По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE. Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя. Оценки рисков Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод. Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер. «Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает [b]Ксения Шилак[/b], директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле. Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь. Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.[img]http://filearchive.cnews.ru/img/news/2017/07/14/pin440.jpg"> Папка verizon-sftp на сервере Amazon
с рассортированными по месяцам данными пользователей По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE. Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя. Оценки рисков Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод. Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер. «Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле. Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь. Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.
с рассортированными по месяцам данными пользователей По-видимому, данные, лежавшие на общедоступном сервере, как раз и представляли собой «побочный продукт жизнедеятельности» call-центров Verizon и операционных офисов Orange, обслуживавшихся NICE. Хотя исследователи сразу же проинформировали Verizon и NICE о своей находке, данные были убраны из общего доступа лишь девять дней спустя. Оценки рисков Сервер был доступен по прямой ссылке, так что вероятность того, что кто-то мог добраться до этих данных раньше, чем UpGuard, невелика, но отличается от нуля. Представители Verizon утверждают, что расследование не выявило несанкционированного доступа к этим данным, но не объясняют, на основании чего они делают такой вывод. Открытый доступ стал следствием «человеческой ошибки» - администраторы NICE неправильно настроили сервер. «Утечки персональных данных - это всегда существенный риск для бизнеса и для самих пользователей, - считает Ксения Шилак, директор по продажам компании SEC Consult. - В сфере кибербезопасности граница между вероятными и фактически состоявшимися инцидентами - сугубо условная, с высокой долей вероятности утечку можно считать произошедшей на самом деле. Мошенники активно используют подобные инциденты для обогащения. Утекшие PIN означают, что злоумышленники могут получить доступ к аккаунтам жертв, захватить их телефонные номера и, в конечном счете, перехватить контроль над их учетными записями во всех сервисах, использующих СМС-сообщения в рамках двухфакторной аутентификации - в том числе, финансовые сервисы и банковские ресурсы. Иными словами, утрата PIN - это перспектива существенных финансовых потерь. Что касается «внутренних данных» Orange, то, пусть это и не персональные данные, в теории и они могут быть использованы злоумышленниками – например, в фишинговых целях, - отметила Шилак. – Любые сведения, которые могут придать достоверности мошенническим письмам, будут представлять ценность для хакеров и угрозу для потенциальных жертв.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.